端點群組是參照供應商部署項目群組的消費者資源。本頁詳細說明鏡像端點群組及其功能。
Mirroring 端點群組
建議您在安全管理員擁有的專案中建立鏡像端點群組。如要建立鏡像端點群組關聯,安全管理員必須將「Mirroring 端點管理員」(roles/networksecurity.mirroringAdmin) 和「Mirroring 端點網路管理員」(roles/networksecurity.mirroringEndpointNetworkAdmin) 角色指派給專案或網路管理員。
如要進一步瞭解鏡像端點群組關聯,請參閱「鏡像端點群組關聯」。
規格
- 鏡像端點群組是在全域層級建立的專案層級資源。
- 網路安全整合功能會使用封包鏡像技術,將虛擬私有雲 (VPC) 網路中 Google Cloud 工作負載的流量鏡像至鏡像端點群組。
- 只有在設定鏡像規則以套用至這個流程,且網路與鏡像端點群組相關聯時,安全性設定檔才會將 VPC 網路中的工作負載流量重新導向至鏡像端點群組。
- 鏡像規則會將虛擬私有雲網路 ID 新增至每個封包,並將封包重新導向至鏡像端點群組,以進行封包深度檢查。如果您有多個虛擬私有雲網路的 IP 位址範圍重疊,這個網路 ID 可確保每個重新導向的封包都正確地與其虛擬私有雲網路建立關聯。
- 您可以在全域建立鏡像端點群組,並將其與一或多個虛擬私有雲網路建立關聯,藉此監控工作負載。您可以使用鏡像端點群組關聯,將鏡像端點群組附加至 VPC 網路。
- 只有在沒有與鏡像端點群組建立關聯的 VPC 網路時,才能刪除該群組。
鏡像端點群組關聯
鏡像端點群組關聯是專案層級的資源。 建立 Mirroring 端點群組關聯後,系統會將 Mirroring 端點群組連結至虛擬私有雲網路,讓流量符合檢查資格。建立關聯後,系統會複製符合鏡像規則的流量,並傳送至附加的鏡像部署群組。如要進一步瞭解如何建立及管理鏡像端點群組關聯,請參閱「建立及管理鏡像端點群組關聯」。
身分與存取權管理角色
Identity and Access Management (IAM) 角色可控管下列動作,以管理鏡像端點群組:
- 在專案中建立 Mirroring 端點群組
- 修改或刪除 Mirroring 端點群組
- 查看 Mirroring 端點群組的詳細資料
- 查看專案中設定的所有鏡像端點群組
下表說明每個步驟所需的角色。
| 能力 | 必要角色 |
|---|---|
| 建立新的鏡像端點群組 | 在建立 Mirroring 端點群組的專案中,具備 Mirroring 端點管理員角色 (roles/networksecurity.mirroringEndpointAdmin)。 |
| 修改現有鏡像端點群組 | 專案的 Mirroring 端點管理員角色 (roles/networksecurity.mirroringEndpointAdmin)。 |
| 查看專案中 Mirroring 端點群組的詳細資料 | 專案的下列任一角色:
|
| 查看專案中的所有鏡像端點群組 | 專案的下列任一角色:
|
IAM 角色會控管下列鏡像端點群組關聯的動作:
- 在專案中建立 Mirroring 端點群組關聯
- 修改或刪除 Mirroring 端點群組關聯
- 查看鏡像端點群組關聯的詳細資料
- 查看專案中設定的所有 Mirroring 端點群組關聯
下表說明每個步驟所需的角色。
| 能力 | 必要角色 |
|---|---|
| 建立鏡像端點群組關聯 |
在建立鏡像端點群組關聯的專案中,具備鏡像端點管理員角色 ( 專案中的鏡像端點使用者角色 ( |
| 修改 (更新或刪除) Mirroring 端點群組關聯 | 虛擬私有雲網路所在專案的 Mirroring 端點管理員角色 (roles/networksecurity.mirroringEndpointAdmin)。 |
| 查看專案中鏡像端點群組關聯的詳細資料 | 下列任一角色:
|
| 查看專案中的所有 Mirroring 端點群組關聯 | 下列任一角色:
|
配額
如要查看與鏡像端點群組相關聯的配額,請參閱配額與限制。